Реклама вместо сайтов в браузерах

Позавчера один из сотрудников нашей компании "поймал" винлокера. С винлокером я легко разобрался с помощью диска восстановления KAV, но позже обнаружилось еще одно неприятное последствие вирусной атаки - на всех компьютерах в сети вместо некоторых сайтов стали открываться рекламные и фишинговые странички. В частности сейчас никто не может попасть на kontur.ru (контур-Экстерн), так же заметил что реклама начинает лезть при просмотре сайтов производителей антивирусной продукции (Касперский, Доктор Веб, Трендмикро). При этом проверка всей сети TrendMicro Officr Scan 10.6 SP1 с последними базами ничего не дала - угроз 0. То же самое показали бесплатные утилиты вроде CureIT! и Kaspersky Virus remove tool, AVZ - угроз не обнаружено. Сканеры уязвимости из комплекта КIS 2013 так же ничего не показали.
Проверил hosts - никаких "лишних" записей. Удалил кэш IE, а так же сбросил все его данные и настройки к дефолтовым.
Даже выполнял команду route -F - ничего не помпогло - реклама продолжает лезть со всех щелей при интернет серфенге.
Правда AVZ пожаловался на наличие перехватчика в библиотеке winnet.dll - после выполнения скрипта "Удаление руткитов...." сайты начинают открываются нормально... Но только в течении первых 10, потом опять эти же функции прописываются в эту же библиотеку.
Так же через режим отладки веб-страниц если запретить выполнение JavaScript, то реклама так же перестает появляется, но вмести с тем перестают нормально функцианировать и целевые сайты. Помогите вычислить зловреда и/или его остатки...

Уважаемый(ая) [B]Михаил Величко[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Вот, пожалуйста, логи rsit.

Интернет раздается через роутер или отдельно стоящий компьютер ?

[QUOTE=mrak74;964184]Интернет раздается через роутер или отдельно стоящий компьютер ?[/QUOTE]

Роутер подключен к прозрачному прокси на linux (squid) (192.168.0.1). В сети так же используется DNS сервер (192.168.0.9). Подключение роутера/модема напрямую (минуя прокси и без использования внутреннего DNS) проблему с подменой сайтов не решает....

Настройки роутера, на предмет лишних DNS проверяли ?

[QUOTE=mrak74;964198]Настройки роутера, на предмет лишних DNS проверяли ?[/QUOTE]

Только что проверил. Для надежности даже сбросил настройки к заводским. DNS выставлено автоопределение. Определяются автоматом стандартные DNS провайдера. Ничего лишнего. Реклама продолжает подменять сайты.

[url]http://virusinfo.info/showthread.php?t=122524[/url] такой лог сделайте.

[QUOTE=mrak74;964250][url]http://virusinfo.info/showthread.php?t=122524[/url] такой лог сделайте.[/QUOTE]

Вот пожалуйста. Только сразу замечу строки
[CODE]127.0.0.1 fair.hpexstreamteam.com
127.0.0.1 raco.guyfun69.com[/CODE]
В hosts файле добавил я, для того чтобы нейтрализовать вредный код.

[url]http://virusinfo.info/showthread.php?t=121767[/url] такой лог, приложите к теме + создайте еще одну тему с компьютером на котором аналогичная проблема.

Кеш на прокси прочистите, если это уже не сделали.

[QUOTE=mrak74;964603][url]http://virusinfo.info/showthread.php?t=121767[/url] такой лог, приложите к теме + создайте еще одну тему с компьютером на котором аналогичная проблема.[/QUOTE]
Вот образ как вы и просили. Так же заметил что эта программа ругается на КриптоПро и Контур (отчетность). Для чистоты эксперимента в новой теме выложу лог с компьютера, который не имеет к Контуру никакого отношения :)

[QUOTE]В частности сейчас никто не может попасть на kontur.ru (контур-Экстерн)[/QUOTE] + [QUOTE]Удалил кэш IE, а так же сбросил все его данные и настройки к дефолтовым. [/QUOTE]

Библиотека СКБ Контур в BHO Internet explorer осталась....

Во всех браузерах проблема ?

[QUOTE=PavelA;964624]Кеш на прокси прочистите, если это уже не сделали.[/QUOTE]

Вычистил и персоздал кэш SQUID'а. Или имелось ввиду кэш прокси в Windows на клиентском компьютере? В таком случае поясните, пожалуйста, как это сделать?
[QUOTE=mrak74;964676]+

Библиотека СКБ Контур в BHO Internet explorer осталась....

Во всех браузерах проблема ?[/QUOTE]
Да во всех, на всех компьютерах, даже на тех, где СКБ Контур и/или КриптоПро никогда не стояли.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Очистка кэша SQUID'а не помогла - подмены сайтов продолжаются

[quote="Михаил Величко;964701"]- подмены сайтов продолжаются[/quote] На всех компьютерах сети? Или только на отдельно взятом.

[QUOTE=PavelA;965133]На всех компьютерах сети? Или только на отдельно взятом.[/QUOTE]

На всех

Еще раз внятно топологию сети. Как ходит трафик?

[QUOTE=Techno;966073]Еще раз внятно топологию сети. Как ходит трафик?[/QUOTE]

ADSL модем в режиме роутера подключен к прозрачному прокси поднятому на linux. От последней машины трафик заворачивается на всю сеть. Так же в сети поднят домен и DNS на Win2003.

P.S. На днях прищлось подключать "чистую" машину в сеть и к домену - машина осталась чистой. Так что сдается мне зловред выгнан, но он успел где-то прописать ссылки на свои "незловредные" скрипты и/или подменить библиотеки windows. Так что выходит ситуация излечивается переустановкой Windows и format C: ;)
Но случай заражения не единичный, так что такой вариант меня мягко говоря не устраивает. Хотелось бы найти "хвосты" и понять как их вычистить.

[quote="Михаил Величко;966757"]Так же в сети поднят домен и DNS на Win2003.[/quote]
В новую тему логи с него.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

- [URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кеш и куки браузеров[/URL]